Перед заказом сертификата обязательно проверьте разрешено ли выбранному вами Центру сертификации выпуск SSL сертификата для вашего домена (сайта)

Что такое CSR?

CSR - Certificate Signing Request - это запрос на генерацию сертификата. Чтобы приобрести SSL сертификат вам необходимо будет сгенерировать CSR (Certificate Signing Request) для вашего сервера.

CSR представляет собой кусок зашифрованного текста, содержащий информацию о компании и доменном имени. CSR это файл, который содержит информацию для сертификата, в том числе ваш открытый публичный ключ. После генерации CSR его нужно скопировать и отправить нам.

Генерирование приватного ключа и запроса на выпуск сертификата (request CSR)

Удобно и очень просто сгенерить запрос CSR при помощи OpenSSL. Скачать OpenSSL можно тут http://openssl.com Чтобы создать пару ключей и Signing Request (CSR) для веб-сервера, 'сервер', введите следующую команду:

При этом создается два файла. Файл myserver.key содержит приватный ключс, не раскрывайте этот файл никому. Тщательно охраняйте закрытый ключ и держите его в секрете. CSR - Certificate Signing Request - это фактически запрос на генерацию сертификата. Чтобы приобрести SSL сертификат вам необходимо будет сгенерировать CSR (Certificate Signing Request) на вашем сервере. CSR представляет собой кусок зашифрованного текста, содержащий информацию о компании и доменном имени. CSR это файл, который содержит информацию для сертификата, в том числе ваш открытый ключ. После генерации CSR его нужно скопировать и вставить CSR файл в веб-форму заявки на сертификат.

При это у Вас будут запрошены некоторые данные. Их нужно вводить английскими буквами. Ответы по умолчанию приводятся в квадратных скобках ([]) сразу после вопроса.

Например, в первой строке задаётся код страны, в которой будет использоваться сертификат, как показано ниже. Некоторые поля будут введены по умолчанию, если вы ввели '.' поле будет пустым.

1. Country Name (2 letter code) - Страна (2 буквенным кодом) [UA]: Поле 'страна' должно содержать код из двух символов, соответствующий стране. Для Украины код 'UA', для остальных стран смотрите полный список кодов.
2. State or Province Name (full name) [] - регион или область (полное название) []:'Kievskaya Oblast'
3. Locality Name (eg, city) []-Населенный пункт, название (например, города) []:'Kiev'.
4. Organization Name (eg, company) [] - Название организации (например, компания) []: Ваша компания Inc
5. Organizational Unit Name (eg, section) [] -Поле 'отдел' — отдел организации, который занимается покупкой сертификата, например 'IT'.
6. Common Name (eg, YOUR name) []-полное доменное имя, на которое приобретается сертификат, например 'adgrafics.net'.
7. Email Address []: электронный адрес, используйте почтовый адрес веб-мастера или системного администратора.

Советы:

Не следует сокращать название местности или штата. Вводите их полностью (например, St. Louis должно быть введено как Saint Louis).

Если вы отправляете этот запрос (CSR) в центр сертификации (CA), будьте очень внимательны, заполняя все эти поля, но особенно важны Organization Name (Название организации) и Common Name (Имя сервера). Центр сертификации проверяет информацию, представленную в запросе (CSR), чтобы убедиться в том, что сервер с именем Common Name, закреплён именно за вашей организацией. Центр сертификации не принимает запросы CSR, в которых содержится неверная информация.

Убедитесь в том, что в качестве значения Common Name введено реальное имя вашего безопасного сервера (правильное имя DNS), а не какой-либо из его псевдонимов.

Поля адреса электронной почты, дополнительно название компании и задачи пароля можно оставить пустым для сертификата веб-сервера.

Избегайте использования специальных символов, например @, #, &, ! и т.д. Некоторые центры сертификации не примут запрос сертификата, содержащий специальные символы. Поэтому, если название компании включает амперсанд (&), запишите его в виде «and» вместо «&».

Если вы генерируете CSR для Wildcard SSL сертификата, доменное имя должно быть указано с '*.' (например *.magazinssl.com). Символ звездочки (*) будет означать любую последовательность символов, не содержащих точку.

Проверить правильность, то есть протестировать CSR вы можете тут >>> Создавшийся файл server.csr – это и есть CSR-запрос на получение сертификата, который Вы должны передать его нам для последующей обработки сертификационном центром.

Образец CSR

Процесс генерации CSR отличается в зависимости от типа, версий и состава программного обеспечения, установленного на сервере.

Ниже приведена инструкция по генерации CSR для наиболее распространённого веб-сервера Apache. Если Вы используете другое серверное ПО, для генерации CSR обратитесь к разработчику.

Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита OpenSSL. Эта утилита, как правило, входит в стандартную поставку веб-сервера Apache.

1. В командной строке сервера введите команду:
   
   
   openssl req -new -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
   
   
   
2. Введите информацию для запроса на подпись сертификата. Эта информация будет отображена в сертификате.
   
   Внимание:
   • вся информация должна вводиться на английском языке
   • запрещено использовать символы: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
   
   

   Параметр	Означает	Пример
   Country Name	Двухбуквенный ISO-код страны	UA
   State or Province Name	Область или край, где официально зарегистрирована организация.	Kyiv
   Locality Name	Город, где официально зарегистрирована организация.	Kyiv
   Organization Name	Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации.	MyCompany Inc
   Organizational Unit Name	Название отдела или подразделения (на английском языке).	IT
   Common Name	Полное доменное имя для веб-сервера в формате FQDN - Fully Qualifed Domain Name. Внимание! Все сертификаты, кроме Wildcard Certificate, защищают только один хост — например, либо сам домен вида 'mydomain.com', либо 'www.mydomain.com', либо любой субдомен вида 'secure.mydomain.com'. Будьте внимательны, Вам необходимо указать именно то имя домена, на которое выписывается сертификат.	www.mydomain.com
   Email Address	Заполнять не обязательно
   A challenge password	Не заполняйте
   An optional company name	Не заполняйте

   
   
3. Проверьте CSR на правильность:
   
   
   openssl req -noout -text -in www.mydomain.com.csr
   
   Если CSR сгенерирован правильно, то в результате выполнения этой команды должен быть выдан примерно такой текст:
   Certificate Request:
       Data:
           Version: 0 (0x0)
           Subject: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mydomain.com
           Subject Public Key Info:
               Public Key Algorithm: rsaEncryption
               RSA Public Key: (2048 bit)
                   Modulus (2048 bit):
   [...]

В результате этих действий будет создан и сохранён в файле www.mydomain.com.csr запрос на сертификат (CSR), а так же сгенерирован и сохранен в файл www.mydomain.com.key секретный ключ 2048 RSA.